一、IDS之HIDS与NIDS
问题:
- 什么是HIDS
- HIDS与NDIS的区别
| 类型 | HIDS | NDIS |
| 概念 | 基于主机的入侵检测系统 | 基于网络的入侵检测系统 |
| 有无agent | 有 | 无 |
| 部署位置 | 内网服务器中 | 内网节点中 |
| 功能 | 对服务器中的异常操作行为进行检测 | 对网络中的异常行为进行检测 |
| 检测方法 | 特征检测 | 异常检测 |
| 误报情况 | 无 | 少量 |
| 检测规则 | 少量 | 大量 |
| 局限性 | 只能检测到达主机层的事件 | 只能检测网络传输中非加密保密信息 |
二、 HIDS开源与商业竞品
问题:
- HIDS开源产品有哪些?
- HIDS商业产品有哪些?
|
开源 | 商业 | |
| 非云主机 | 云主机 | |
| Ossec | 安全狗-云眼 | 阿里云-安骑士 |
| Wazuh | 青藤云-hids | 腾讯云-T-sec |
| Osquery | 天擎EDR | 华为云-HSS |
| AgentSmith | 深信服EDR |
|
| Yulong-hids | 绿盟EDR |
|
三、HIDS主要功能及架构部署
主要功能
- 日志监控
- 文件完整性检测
- 后门检测
- 实时告警
- 主动响应
架构部署
四、企业推动HIDS落地的策略
- 安全部门内部针对HIDS进行测试优化。
- 前期先在测试环境与业务试运行,确认agent的部署运行不影响业务,再进一步推动;
- 先在一些边缘性业务主机上部署,确认无问题,再在核心业务主机上部署,尽量覆盖全部业务主机,形成防御面。
- 制定流程规范,明确部署、回退等流程。
